谷歌发布了紧急安全更新,以修复今年年初败兴第四个被攻击利用的 Chrome 0day漏洞。
该机构在周一发布的安全公告中透露,“谷歌认识到 CVE-2023-4863 0day漏洞存在” 。
新版本日前正在向稳定版和扩展稳定版途径的用户推出,预计将在将来几天或几周内覆盖全部用户群。
意见 Chrome 用户尽快将网络浏览器升级到版本 116.0.5845.187(Mac 和 Linux)和 116.0.5845.187/.188(Windows),由于它修复了 Windows、Mac 和 Linux 上的 CVE-2023-4863 漏洞。
经过 Chrome 菜单 > 帮忙 > 关于 Google Chrome 检测新更新时,此更新立就可用。Web 浏览器还将检测新更新并在重新起步后自动安装它们,无需用户交互。
攻击细节尚不清楚
严重的0day漏洞 ( CVE-2023-4863 ) 是由于 WebP 代码库 (libwebp) 堆缓冲区溢出漏洞导致的,其影响范围从崩溃到任意代码执行。
Apple 安全工程与架构 (SEAR) 和多伦多大学蒙克学院百姓实验室于 9 月 6 日星期三报告了该漏洞。
百姓实验室安全科研人员经常发掘并披露0day漏洞,这些漏洞被政府支持的黑客组织在针对全世界反对派政客、记者和持区别政见者等高危害个人的高度针对性间谍软件攻击中乱用。
周四,Apple 修补了两个被 Citizen Lab 标记为被用于攻击的0day漏洞,这些漏洞是 BLASTPASS 漏洞利用链的一部分, 利用 NSO Group 的 Pegasus 雇佣间谍软件感染已打好补丁的 iPhone 。
虽然谷歌暗示 CVE-2023-4863 0day漏洞已在野外被利用,但该机构尚未分享相关这些攻击的更加多细节。
经过最新的修复,谷歌自今年年初败兴已然处理了 Chrome 中总共四个0day漏洞。 CVE-2023-2033(CVSS 评分:8.8)- V8 中的类型混淆CVE-2023-2136(CVSS 评分:9.6)- Skia 中的整数溢出CVE-2023-3079(CVSS 评分:8.8)- V8 中的类型混淆就在同一天,Apple 还针对以下设备和操作系统扩大了修复 CVE-2023-41064 漏洞的影响范围: iOS 15.7.9 和 iPadOS 15.7.9 - iPhone 6s(所有型号)、iPhone 7(所有型号)、iPhone SE(第 1 代)、iPad Air 2、iPad mini(第 4 代)和 iPod touch(第 7 代)macOS Big Sur 11.7.10和macOS Monterey 12.6.9CVE-2023-41064 触及图像 I/O 组件中的缓冲区溢出问题,该问题可能引起在处理恶意制作的图像时执行任意代码。
按照 Citizen Lab 的说法,据述 CVE-2023-41064 已与 Wallet 中的验证问题 CVE-2023-41061 结合运用,做为名为 BLASTPASS 的零点击 iMessage 漏洞利用链的一部分,以在完全安排Pegasus上修补了运行 iOS 16.6 的 iPhone。
事实上,CVE-2023-41064 和 CVE-2023-4863 都与图像处理相关,而后者已由 Apple 和百姓实验室报告,这显示两者之间可能存在潜在联系。
谷歌暗示:“在大都数用户更新修复程序之前,对错误仔细信息和链接的拜访可能会受到限制。” “倘若其他项目一样依赖但尚未修复的第三方库中存在该错误,咱们还将保存限制。”
Mozilla 今天还修补了 CVE-2023-4863 零日漏洞,由于它亦会影响 Firefox Web 浏览器(以及运用 libwebp 库的其他制品)。
|